Upload
psyche
View
36
Download
1
Embed Size (px)
DESCRIPTION
Les Listes de Controle d'Accès (Access-Control-Lists). Les Access Lists. • Généralités. - PowerPoint PPT Presentation
Citation preview
BTS_IG CFI Site Paris 1
Les Listes de Controle d'Accès
(Access-Control-Lists)
BTS_IG CFI Site Paris 2
Les Access Lists• Généralités
• Une Liste d'Accès est une séquence d'actions d'autorisation (permit) ou d'interdiction (deny) sur des adresses ou des protocoles de couches supérieures.
• Il existe différents types de Liste d'Accès:
- Standards (Standard) - Etendues (Extended) - Nommées (Named) - Dynamiques
Transmission de paquetssur l'interface
Liste d'AccèsAccès
Ligne Terminal virtuel(IP)
Telnet
BTS_IG CFI Site Paris 3
Les Access Lists• Généralités
• Comment fonctionne une liste d'accès
Paquets entrantssur l'interface
Liste d'Accèsprésente?
Test N°1
Test N°2
Test N°n
Oui
Oui
Oui
Oui
Non
Permitou
Deny
Non
Non
Deny
Non
Permit Traitement du Paquet
Paquet éliminé
BTS_IG CFI Site Paris 4
Les Access Lists• Les numéros de Listes d'Accès
Numéro de Liste d'Accès Description
1 à 99 Access List Standard IP
100 à 199 Access List Etendue IP
200 à 299 Protocole Type-Code Access List
300 à 399 DECnet Access List
400 à 499 XNS Access List Standard
500 à 599 XNS Access List Etendue
600 à 699 Apple Talk Access List
700 à 799 Adresses MAC Acces List
800 à 899 IPX Access List Standard
900 à 999 IPX Access List Etendue
1000 à 1099 IPX SAP Access List
1100 à 1199 Adresses MAC Acces List Etendue
1200 à 1299 IPX Adresses agrégées Access list
1300 à 1399 Access List Standard IP (extension)
2000 à 2699 Access List Etendue IP (extension)
BTS_IG CFI Site Paris 5
Les Access Lists• La syntaxe des Listes d'Accès
● Liste d'accès IP Standard
Router(config)#access-list access-list-number {deny|permit}source [source-wildcard] [log]
● Router(config)# - Configuration en mode EXEC privilégié
● access-list - Nom de la commande
● access-list-number - Numéro de la liste d'accès (1 à 99)
● {deny|permit} - Instruction (l'une ou l'autre)
- deny = interdiction - permit = autorisation
● source - Adresse IP de la source
● source-wildcard - Masque générique
● log - demande de génération d'un message de log
BTS_IG CFI Site Paris 6
Les Access Lists• La syntaxe des Listes d'Accès
● Liste d'accès IP Etendue
Router(config)#access-list access-list-number { permit|deny} protocolsource source-wildcard [operator [port]] destination destination-wildcard[operator [port]] [established] [log]
● Router(config)# - Configuration en mode EXEC privilégié ● destination - Adresse IP de destination
● access-list - Nom de la commande ● destination-wildcard - Masque générique
● access-list-number - Numéro de la liste d'accès (100 à 199) ● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ
● {deny|permit} - Instruction (l'une ou l'autre) ● established - Pour TCP - deny = interdiction - permit = autorisation ● log - demande de génération d'un message de log
● protocol - Protocole à filtrer (IP, ICMP, TCP,UDP)
● source - Adresse IP de la source
● source-wildcard - Masque générique
● operator port - Numéro de Port TCP ou UDP - operator : LT, GT, LE, GE,EQ
BTS_IG CFI Site Paris 7
Les Access Lists• Règles d'écriture
- Il faut passer une commande pour chaque instruction permit ou deny
- Une nouvelle instruction est automatiquement insérée en fin de liste
- Il n'est pas possible de supprimer une ligne de la liste
- Pour modifier une liste d'accès standard ou étendue, il faut d'abord la supprimer puis la recréer
- Une liste de contrôle d'accès se termine toujours par une instruction deny any implicite
- Il faut placer les instructions les plus globales en tête de liste
BTS_IG CFI Site Paris 8
Les Access Lists
• Règles d'écriture
- Le masque générique
- Le masque générique permet de réaliser un masque sur l'adresse source ou destination
- Ce masque permet de sélectionner:
- Un Host - Un sous-réseau - Un intervalle d'adresses de Hosts - Un intervalle d'adresses de réseaux ou sous-réseaux
- Dans ce masque un "0" indique le bit à tester
- Ex: 0.0.0.0 indique "Tester tous les bits de l'adresse IP" ou
L'adresse IP source (destination) du paquet IP émis (reçu) doit correspondre bit pour bit à l'adresse source (destination) de la liste d'accès.
- Le mot-clé host remplace le masque générique 0.0.0.0
- Le mot-clé any remplace le masque générique 255.255.255.255
BTS_IG CFI Site Paris 9
Les Access Lists• Règles d'utilisation
- Les listes d'accès peuvent être utilisées en entrée ou en sortie
- Elles se placent sur les interfaces
- On peut placer une seule liste d'accès par protocole et par sens sur une interface
- Les listes d'accès en entrée sont appliquées dès la réception du paquet par l'interface
- Les listes d'accès en sortie sont appliquées lors de l'émission du paquet par l'interface
- Les listes d'accès standards sont placées près de la destination
- Les listes d'accès étendues sont placées près de la source
BTS_IG CFI Site Paris 10
Les Access Lists• Exemples
- Liste d'accès Standard
1. On veut interdire le host dont l'adresse IP est : 192.168.10.120
Syntaxe de la commande:
Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0
ou
Router(config)# access-list 1 deny host 192.168.10.120
2. On veut interdire le réseau dont l'adresse IP est : 192.168.10.0 255.255.255.0
Syntaxe de la commande:
Router(config)# access-list 1 deny 192.168.10.0 0.0.0.255
3. On veut interdire le sous-réseau dont l'adresse IP est : 192.168.10.8 255.255.255.248
Syntaxe de la commande:
Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7
BTS_IG CFI Site Paris 11
Les Access Lists• Exemples
- Liste d'accès Standard
4. On veut interdire les sous-réseaux dont les adresses IP vont de : 172.16.16.0 à 172.16.48.0 avec un masque égal à 255.255.240.0.
Syntaxe de la commande:
Router(config)# access-list 1 deny 172.16.16.0 0.0.63.255
5. On veut interdire les sous-réseaux dont les adresses IP vont de : 192.168.10.8 à 192.168.10.56 avec un masque égal à 255.255.255.240.
Syntaxe de la commande:
Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63
BTS_IG CFI Site Paris 12
Les Access Lists
- Liste d'accès Etendue
• Exemples
1. On veut interdire les messages ICMP echo de n'importe quelle source vers toute destination.
Syntaxe de la commande:
Router(config)# access-list 101 deny icmp any any echo
2. On veut autoriser l'accès Telnet vers le host dont l'adresse IP est : 192.168.10.140 255.255.255.0 venant du host 200.202.2.2 255.255.255.0 Syntaxe de la commande:
Router(config)# access-list 102 permit tcp host 200.202.2.2 any host 192.168.10.140 eq 23
3. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0
Syntaxe de la commande:
Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255
BTS_IG CFI Site Paris 13
Les Access Lists
- Liste d'accès Etendue
• Exemples
4. On veut autoriser les accès DNS sur le host dont l'adresse est 150.150.150.200 255.255.255.0
Syntaxe de la commande:
Router(config)# access-list 101 permit udp any any host 150.150.150.200 eq 53
5. On veut autoriser le trafic IP venant du réseau 191.10.1.0 255.255.255.0 à destination du réseau 80.8.8.0 255.255.255.0
Syntaxe de la commande:
Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255 80.8.8.0 0.0.0.255
BTS_IG CFI Site Paris 14
Les Access Lists• Appliquer des Access-Lists
• Sécuriser l'accès au routeur - Les ports "Terminal virtuel"
• Les listes d'accès étendues peuvent être utilisées pout bloquer Telnet (TCP 23) - Doivent être configurées pour chaque interface IP sur le routeur
• Appliquer une liste d'accès standard aux lignes vty est un meilleur choix.
• RTA(config)#access-list 5 permit 200.100.50.0 0.0.0.255• RTA(config)#access-list 5 permit host 192.168.1.1• RTA(config)#line vty 0 4• RTA(config-line)#access-class 5 in
PortsVirtuels(vty 0-4)
PortPhysique (E0)
0 1 24
3